Transformação de dados para a integração de vulnerabilidade da Gestão de ameaças e vulnerabilidades da Microsoft
Depois de identificar os dados que deseja importar, os dados são recuperados da aplicação ServiceNow® Microsoft Threat and Vulnerability Management (MS TVM), processados por meio de um conjunto de fontes de dados e transformados em sua instância.
Durante a instalação, os mapas de severidade normalizada são instalados no módulo Mapeamento de severidade normalizada. Esses mapas transformam níveis de severidade de vulnerabilidade de terceiros importados Microsoft em níveis de severidade padrão para processamento em sua instância. Para obter informações sobre como criar mapas de severidade, consulte Criar um Resposta a vulnerabilidades mapa de severidade.
Importação de máquinas com MS TVM
Os dados das máquinas importadas são carregados primeiro na tabela Importação de máquinas do MS TVM [sn_vul_msft_tvm_machines_import].
A transformação de máquinas do MS TVM é usada para transformar as informações das máquinas importadas.
Nota:
Para acessar este mapa de transformação, navegue até e pesquise Transformação de máquinas com Microsoft TVM.As mudanças neste mapa de transformação alteram a forma como os dados da importação de máquinas MS TVM são processados.
A tabela a seguir lista os campos do mapa de transformação por integração.
| Campo de origem | Campo de destino | Descrição |
|---|---|---|
| u_id | source_id | ID exclusivo para ativos. Este ID é mapeado para o source_id do registro do item descoberto. |
| u_ipaddresses.macAddress | mac_address | Endereço MAC que é mapeado da API para o campo de endereço MAC do host do registro cmdb_ci. |
| u_ipaddresses.ipAddress | ip_address | Campo de endereço IP que é mapeado para o campo de endereço IP do registro cmdb_ci. |
| u_lastseen | última_scan_data | Campo que é mapeado para o campo last_scan_date no registro do item descoberto. |
| u_machinetags | Marcadores que são salvos em sn_sec_cmn_host_tag. O mapeamento de marcadores para ativos é salvo em sn_sec_cmn_m2m_src_ci_tag. | |
| u_osplatform | os | Campo que é mapeado para o campo do sistema operacional no registro cmdb_ci. |
| u_computerdnsname | fqdn | Campo que mapeia o campo dnsname da API para o campo fqdn no registro cmdb_ci. |
Os scripts de transformação a seguir são executados durante o processo de transformação.
Tempo e finalidade do script do mapa de transformação das máquinas MS TVM
| Quando o script é executado | Finalidade |
|---|---|
| onStart (quando um conjunto de importação iniciou a transformação). | Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído. |
| onBefore (antes de um conjunto para importação concluir a transformação). | Script usado para atualizar valores no host e verificar se o host existe. Com base nos resultados, este script modifica os valores na variável de escopo (sn_vul_msft_tvm). Este script é para uso interno e não deve ser modificado ou excluído. |
| onComplete (quando um conjunto de importação concluiu a transformação). | Script usado para definir o número de ICs criados, atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído. |
A inclusão de script MicrosoftTVMMachinesProcessor é chamada a partir do script de transformação onBefore. Ele obtém a saída da integração das máquinas do Microsoft TVM e a transforma em um IC. Quaisquer mudanças nesta inclusão de script podem alterar a transformação dos dados das máquinas do Microsoft TVM no IC e na tabela de itens descobertos.
Integração de vulnerabilidades do MS TVM
Os dados de vulnerabilidades importados são carregados primeiro na tabela de importação de CVE (vulnerabilidades) do Microsoft TVM [sn_vul_msft_tvm_vulnerability_import].
Nota:
Para acessar este mapa de transformação, navegue até e pesquise a Transformação de vulnerabilidades do Microsoft TVM.As mudanças neste mapa de transformação alteram como os dados da importação de vulnerabilidades do MS TVM são processados.
A tabela a seguir lista os campos do mapa de transformação por integração.
| Campo de origem | Campo de destino | Descrição |
|---|---|---|
| u_id | ID | Mapas para a coluna ID do registro sn_vul_entry. |
| gravidade_u | gravidade_origem | Mapeia o campo Gravidade para a gravidade. O valor padrão é 5. |
| u_publishedon | date_published | Mapeia o campo u_publishedon para a data de publicação. |
| u_publicexploit | exploração_publica | Mapeia o u_publicexploit fornecido pelo scanner para a coluna de exploração pública na tabela de entrada de vulnerabilidade. |
| u_cvssv3 | v3_base_score | Mapeia a pontuação cvssv3 para a pontuação base v3 no registro de entrada de vulnerabilidade. |
| u_description | resumo | Mapeia a descrição para o campo de resumo no registro de entrada de vulnerabilidade. |
| u_exploitinKit | malware_kit | Mapeia o campo u_exploitinkit para o kit de malware na tabela de exploração. |
| u_exploittypes | tipo | Mapeia o tipo de exploração para o tipo na tabela de exploração. |
| u_exploitverified | is_exploit_verified | Mapeia o campo u_exploitverified para a exploração verificada na tabela Exploit. |
| u_exploituris | exploit_links | Mapeia o campo u_exploituris para os links de exploração na tabela Exploração. |
Os scripts de transformação a seguir são executados durante o processo de transformação.
| Quando o script é executado | Finalidade |
|---|---|
| onStart (quando um conjunto de importação iniciou a transformação). | Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído. |
| onBefore (antes de um conjunto para importação concluir a transformação). | Script usado para criar ou atualizar os valores no NVD ou na tabela de entrada de terceiros. Este script é para uso interno e não deve ser modificado ou excluído. |
| onComplete (quando um conjunto de importação concluiu a transformação). | Script usado para definir os valores dos novos itens que foram criados e os itens que foram atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído. |
Importação de recomendações do MS TVM
Os dados de recomendação importados são carregados primeiro na tabela Importação de recomendações do MS TVM [sn_vul_msft_tvm_recom_import].
Nota:
Para acessar este mapa de transformação, navegue até e pesquise por Transformação de recomendação do MS TVM.As mudanças neste mapa de transformação alteram como os dados da importação de recomendações do MS TVM são processados.
A tabela a seguir lista os campos do mapa de transformação por integração.
| Campo de origem | Campo de destino | Descrição |
|---|---|---|
| u_recommendedvendor | recomendado_fornecedor | Mapeia o campo u_recommendedvendor para a coluna Fornecedor. |
| u_fraquezas | pontos fracos | Mapeia o campo u_weaknesses para a coluna Pontos fracos. |
| u_exposedmachinescount | src_exposed_machines_cnt | Mapeia o campo u_exposedmachinescount para a coluna Contagem de máquinas expostas. |
| u_status | status | Mapeia o status para o campo Status no registro de recomendação. |
| u_productname | product_name | Mapeia o campo u_productname para o nome do produto no registro de recomendação. |
| u_nonproductiv_impactedassets | non_prod_impacted_assets | Mapeia o campo u_nonproductiv_impactedassets para a coluna Ativos afetados no registro de recomendação. |
| alerta_ativo_u | alerta_ativo | Mapeia o campo u_activealert para a coluna Alerta ativo no registro de recomendação. |
| u_recommendedversion | recomendado_versão | Mapeia o campo u_recommendedversion para a coluna Versão recomendada no registro de recomendação. |
| u_totalmachinecount | total_machine_count | Mapeia o campo u_totalmachinecount para a coluna Contagem total de máquinas no registro de recomendação. |
| u_exposureimpact | exposição_impacto | Mapeia o campo u_exposureimpact para a coluna Impacto da exposição no registro de recomendação. |
| u_recommendationname | recomendação_nome | Mapeia o campo u_recommendationname para a coluna Nome da recomendação no registro de recomendação. |
| u_subcategoria | subcategoria | Mapeia o campo u_subcategory para a coluna Subcategoria no registro de recomendação. |
| u_id | source_id | Mapeia o ID de recomendação do MS TVM para a coluna ID de origem. |
| u_remediationtype | correção_tipo | Mapeia o campo u_remediationtype para a coluna Tipo de correção no registro de recomendação. |
| u_relatedcomponent | related_component | Mapeia o campo u_relatedcomponent para a coluna Componente relacionado no registro de recomendação. |
| u_recommendedprogram | programa_recomendado | Mapeia o campo u_recommendedprogram para a coluna Programa recomendado no registro de recomendação. |
| u_recommendationcategory | recomendação_categoria | Mapeia o campo u_recommendationcategory para a coluna Categoria de recomendação no registro de recomendação. |
| u_publicexploit | exploração_publica | Mapeia o campo u_publicexploit para a coluna Exploração pública no registro de recomendação. |
| u_vendor | fornecedor | Mapeia o campo u_vendor para a coluna Fornecedor no registro de recomendação. |
| [Script] | integração_instance | Nome da instância da qual a recomendação é importada. |
| [Script] | sys_domain | Domínio no qual este registro é importado. |
Os scripts de transformação a seguir são executados durante o processo de transformação.
| Quando o script é executado | Finalidade |
|---|---|
| onStart (quando um conjunto de importação iniciou a transformação). | Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído. |
| onBefore (antes de um conjunto para importação concluir a transformação). | Script usado para atualizar valores nas recomendações e verificar se as recomendações existem. Este script é para uso interno e não deve ser modificado ou excluído. |
| onComplete (quando um conjunto de importação concluiu a transformação). | Script usado para definir os valores de itens criados, atualizados e ignorados. Este script é para uso interno e não deve ser modificado ou excluído. |
Importação de vulnerabilidades da máquina do MS TVM
O mapa de transformação de vulnerabilidades da máquina do MS TVM é usado para transformar informações de vulnerabilidades abertas e fixas que são importadas do MS TVM.
Nota:
Para acessar os mapas de transformação de vulnerabilidades abertas e corrigidas do MS TVM, navegue até e pesquise a Transformação de vulnerabilidades da máquina do MS TVM.As mudanças neste mapa de transformação alteram o modo como os dados da Importação de vulnerabilidades de máquina do MS TVM são processados.
A tabela a seguir lista os campos do mapa de transformação por integração.
| Campo de origem | Campo de destino | Descrição |
|---|---|---|
| u_id | detecção_chave | Mapeia o campo u_id para a coluna Chave de detecção na tabela de detecção. |
| u_diskpaths | prova | Mapeia o campo u_diskpaths para a coluna Prova na tabela de detecção. |
| u_registrypaths | prova | Mapeia o campo u_registrypaths para a coluna Prova na tabela de detecção. |
| u_recommendedsecurityupdateid | solução_preferida | Mapeia o campo u_recommendedsecurityupdateid para a coluna Solução preferencial na tabela de itens vulneráveis, se a solução existir com o mesmo ID na tabela sn_vul_solution. |
| u_recommendationreference | recomendação | Mapeia o campo u_recommendationreference para a coluna Recomendação na tabela de itens vulneráveis. |
| u_cveid | vulnerabilidade | Mapeia o campo u_cveid para a coluna Vulnerabilidade na tabela de itens vulneráveis. |
| u_status | status_origem | Mapeia o campo u_status para a coluna Status de origem na tabela de detecção. |
| u_eventtimestamp | pontuação_ temporal | Mapeia o campo u_eventtimestamp para a coluna Último encontrado na tabela de itens vulneráveis. |
| u_lastseentimestamp | last_seen | Mapeia o campo u_lastseentimestamp para a coluna Visto pela última vez na tabela de itens vulneráveis. |
| u_firstseentimestamp | first_seen | Mapeia o campo u_firstseentimestamp para a coluna Visto pela primeira vez na tabela de itens vulneráveis. |
| u_recommendedsecurityupdate | solution_summary | Mapeia o campo u_recommendedsecurityupdate para a coluna Resumo da solução na tabela de itens vulneráveis. |
| u_recommendedsecurityupdateurl | solution_summary | Mapeia o campo u_recommendedsecurityupdateurl para a coluna Resumo da solução na tabela de itens vulneráveis. |
Os scripts de transformação a seguir são executados durante o processo de transformação.
| Quando o script é executado | Finalidade |
|---|---|
| onStart (quando um conjunto de importação iniciou a transformação). | Script usado para inicializar os valores na variável de escopo (sn_vul_msft_tvm) para o processo de integração. Este script é para uso interno e não deve ser modificado ou excluído. |
| onBefore (antes de um conjunto para importação concluir a transformação). | Script usado para verificar se a entrada de vulnerabilidade e as detecções existem. Caso contrário, esses registros serão criados em suas respectivas tabelas. Este script é para uso interno e não deve ser modificado ou excluído. |
| onComplete (quando um conjunto de importação concluiu a transformação). | Script usado para atualizar a contagem de IVs e Detecções importadas do MS TVM. Este script é para uso interno e não deve ser modificado ou excluído. |